Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Microsoft rekommenderar starkt att du använder Always On VPN i stället för DirectAccess för nya distributioner. Mer information finns i Always on VPN.
Det här avsnittet innehåller en introduktion till DirectAccess-scenariot som använder en enda DirectAccess-server och gör att du kan distribuera DirectAccess i några enkla steg.
Innan du börjar distribuera kan du läsa listan över konfigurationer som inte stöds, kända problem och förutsättningar
Du kan använda följande avsnitt för att granska krav och annan information innan du distribuerar DirectAccess.
Scenariobeskrivning
I det här scenariot konfigureras en Windows Server-dator som en DirectAccess-server med standardinställningar. Konfigurationen kräver bara några enkla guidesteg, utan att du behöver konfigurera infrastrukturinställningar, till exempel en certifikatutfärdare (CA) eller Active Directory-säkerhetsgrupper.
Anmärkning
Om du vill konfigurera en avancerad distribution med anpassade inställningar kan du läsa Distribuera en enskild DirectAccess-server med avancerade inställningar
I det här scenariot
För att konfigurera en grundläggande DirectAccess-server krävs flera planerings- och distributionssteg.
Förutsättningar
Innan du börjar distribuera det här scenariot bör du granska den här listan efter viktiga krav:
Windows-brandväggen måste vara aktiverad för alla profiler
Det här scenariot stöds bara när klientdatorerna kör Windows 10, Windows 8.1 eller Windows 8.
ISATAP i företagsnätverket stöds inte. Om du använder ISATAP bör du ta bort det och använda intern IPv6.
En infrastruktur för offentlig nyckel krävs inte.
Stöds inte vid implementering av tvåfaktorautentisering. Domänautentiseringsuppgifter krävs för autentisering.
Distribuerar DirectAccess automatiskt till alla mobila datorer i den aktuella domänen.
Trafik till Internet går inte via DirectAccess-tunneln. Force-tunnelkonfiguration stöds inte.
DirectAccess-servern är nätverksplatsservern.
Network Access Protection (NAP) stöds inte.
Det går inte att ändra principer utanför DirectAccess-hanteringskonsolen eller PowerShell-cmdletar.
Om du vill distribuera flera platser, nu eller i framtiden, måste du först Distribuera en enskild DirectAccess-server med avancerade inställningar.
Planeringssteg
Planeringen är uppdelad i två faser:
Planera för DirectAccess-infrastrukturen. Den här fasen beskriver den planering som krävs för att konfigurera nätverksinfrastrukturen innan du påbörjar DirectAccess-distributionen. Planeringen omfattar utformningen av nätverks- och servertopologin och DirectAccess-nätverksplatsservern.
Planera för DirectAccess-distributionen. I den här fasen beskrivs de planeringssteg som krävs för att förbereda för DirectAccess-distributionen. Den omfattar planering för DirectAccess-klientdatorer, server- och klientautentiseringskrav, VPN-inställningar, infrastrukturservrar och hanterings- och programservrar.
Detaljerade planeringssteg finns i Planera en avancerad DirectAccess-distribution.
Instruktioner för distribution
Distributionen är uppdelad i tre faser:
- Konfigurera DirectAccess-infrastrukturen. I den här fasen ingår att konfigurera följande komponenter:
- Nätverk och routning
- Brandväggsinställningar (om det behövs)
- Certifikaten
- DNS-servrar
- Inställningar för Active Directory och grupppolicyinställningar
- DirectAccess-nätverksplatsserver
Konfigurera DirectAccess-serverinställningar. Den här fasen innehåller steg för att konfigurera DirectAccess-klientdatorer, DirectAccess-servern, infrastrukturservrar, hanterings- och programservrar.
Verifierar driftsättningen. Den här fasen innehåller steg för att kontrollera att distributionen fungerar efter behov.
Detaljerade distributionssteg finns i Installera och konfigurera grundläggande DirectAccess-.
Praktiska tillämpningar
När du distribuerar en enskild fjärråtkomstserver får du följande fördelar:
Enkel åtkomst. Du kan konfigurera hanterade klientdatorer som kör Windows 10, Windows 8.1, Windows 8 eller Windows 7 som DirectAccess-klienter. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de finns på Internet utan att behöva logga in på en VPN-anslutning. Klientdatorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket med hjälp av traditionella VPN-anslutningar.
Enkel hantering. DirectAccess-klientdatorer som finns på Internet kan fjärrhanteras av fjärråtkomstadministratörer via DirectAccess, även om klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt av hanteringsservrar. Både DirectAccess och VPN hanteras i samma konsol och med samma uppsättning guider. Dessutom kan en eller flera fjärråtkomstservrar hanteras från en enda fjärråtkomsthanteringskonsol
Roller och funktioner som ingår i det här scenariot
I följande tabell visas de roller och funktioner som krävs för scenariot:
| Roll/funktion | Hur det stöder det här scenariot |
|---|---|
| Fjärråtkomstroll | Rollen installeras och avinstalleras med hjälp av Serverhanteraren-konsolen eller Windows PowerShell. Den här rollen omfattar både DirectAccess, routning och fjärråtkomsttjänster. Fjärråtkomstrollen består av två komponenter: 1. DirectAccess och Routning och fjärråtkomsttjänster (RRAS) VPN. DirectAccess och VPN hanteras tillsammans i konsolen för hantering av fjärråtkomst. Fjärråtkomstserverrollen är beroende av följande serverroller/funktioner: – Webbserver för Internet Information Services (IIS) – Den här funktionen krävs för att konfigurera nätverksplatsservern på fjärråtkomstservern och standardwebbavsökningen. |
| Funktionen Verktyg för fjärråtkomsthantering | Den här funktionen installeras på följande sätt: – Den installeras som standard på en fjärråtkomstserver när fjärråtkomstrollen är installerad och stöder användargränssnittet för fjärrhanteringskonsolen och Windows PowerShell-cmdletar. Funktionen Verktyg för fjärråtkomsthantering består av följande komponenter: – Gui för fjärråtkomst Beroenden omfattar: Gruppolicyhanteringskonsol |
Maskinvarukrav
Maskinvarukrav för det här scenariot omfattar följande:
Serverkrav:
En dator som uppfyller maskinvarukraven för Windows Server 2016, Windows Server 2012 R2 eller Windows Server 2012 .
Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används bör det finnas ett kort som är anslutet till det interna företagsnätverket och ett som är anslutet till det externa nätverket (Internet eller privat nätverk).
Minst en domänkontrollant. Fjärråtkomstservern och DirectAccess-klienterna måste vara domänmedlemmar.
Klientkrav:
En klientdator måste köra Windows 10, Windows 8.1 eller Windows 8.
Viktigt!
Om vissa eller alla klientdatorer kör Windows 7 måste du använda guiden Avancerad installation. Installationsguiden för komma igång som beskrivs i det här dokumentet stöder inte klientdatorer som kör Windows 7. Mer information om hur du använder Windows 7-klienter med DirectAccess finns i Distribuera en enskild DirectAccess-server med avancerade inställningar.
Anmärkning
Endast följande operativsystem kan användas som DirectAccess-klienter: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise och Windows 7 Ultimate.
Infrastruktur- och hanteringsserverkrav:
- Om VPN är aktiverat och en statisk IP-adresspool inte har konfigurerats måste du distribuera en DHCP-server för att allokera IP-adresser automatiskt till VPN-klienter.
En DNS-server som kör Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 eller Windows Server 2008 R2 krävs.
Programvarukrav
Nedan följer kraven för det här scenariot:
Serverkrav:
Fjärråtkomstservern måste vara domänmedlem. Servern kan distribueras i utkanten av det interna nätverket eller bakom en gränsbrandvägg eller annan enhet.
Om fjärråtkomstservern finns bakom en gränsbrandvägg eller NAT-enhet måste enheten konfigureras för att tillåta trafik till och från fjärråtkomstservern.
Den person som distribuerar fjärråtkomst på servern kräver lokal administratörsbehörighet på servern och domänanvändarbehörigheter. Dessutom behöver administratören ha behörigheter för de GPO:er som används vid DirectAccess-distributionen. För att kunna dra nytta av de funktioner som begränsar DirectAccess-distributionen endast till mobila datorer krävs behörigheter för att skapa ett WMI-filter på domänkontrollanten.
Klientkrav för fjärråtkomst:
DirectAccess-klienter måste vara domänmedlemmar. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller ha ett dubbelriktad förtroende med fjärråtkomstserverskogen.
En Active Directory-säkerhetsgrupp krävs för att innehålla de datorer som ska konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar inställningarna för DirectAccess-klienter, tillämpas klientens grupprincipobjekt som standard på alla bärbara datorer i säkerhetsgruppen Domändatorer. Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise och Windows 7 Ultimate.
Se även
Följande tabell innehåller länkar till ytterligare resurser.
| Innehållstyp | Referenser |
|---|---|
| fjärråtkomst på TechNet | TechCenter för fjärråtkomst |
| Verktyg och inställningar | PowerShell-cmdletar för fjärråtkomst |
| Gemenskapsresurser | DirectAccess Wiki-inlägg |
| Relaterade tekniker | Hur IPv6 fungerar |